الأحد، مارس 14، 2010

الهاكرز الأخلاقى

يقال إن أمن المعلومات يمكن أن يكون أداة تسويق كبيرة للتطبيقات التقنية في الحكومة والقطاع الخاص على حد سواء، فالتقنية سلاح ذو حدين، في الوقت الذي توفر فيه تسهيلات كبيرة للمستخدمين، نجد أن التهديدات الامنية للمعلومات واختراقات المواقع أصبحت أمراً مقلقاً، خصوصاً مع وصولنا إلى عصر تطبيقات الويب وأتاحة الخدمات عن طريق الأنترنت. من أقدر على معرفة مدى قابلية موقعك للاختراق أكثر من هاكر محترف، يطلب منك الأذن المسبق لاختراق موقعك والتعرف على مواطن القوة والضعف فيه .

ماذا نعني بمصطلح – الهاكر الأخلاقي؟ وما استخداماته؟
- الهاكر الأخلاقي هو شخص يتقن فنون الاختراق «Hacking» ويسخر تلك الفنون لخدمة المجتمع أما بتقديم خدمات أمنية احترافية أو باكتشاف الثغرات في تطبيقات وأنظمة دولية وأشعار الشركات المتضررة بخطورة تلك الثغرات، ولكن لا يتم كل ذلك إلا بعد توقيع اتفاقيه وتخطيط مسبق مع الجهة المراد اختبارها، كما يلتزم الهاكر الأخلاقي بشروط وأحكام يجب عليه اتباعها والموافقة عليها بالتوقيع على اتفاقية تسمى Code Of Ethic وهي اتفاقية أخلاقية على أن الهاكر الأخلاقي يجب أن يحافظ على السرية التامة في أي اختبار اختراق ولا يقوم بتسريب أي معلومات عن الجهة المختبرة أو الثغرات المكتشفة وعلى أن يقوم بتقديم تقرير كامل يوضح فيه جميع الثغرات الأمنية والحلول مما يساعد الجهة المعنية بالاختبار تأمين مصادرها من المخترقين، كما أن أي إخلال بأحد نصوص الوثيقة الأخلاقية قد يعرض الهاكر الأخلاقي للمطالبة القانونية والمحاكمة. يمكن للجهات استخدام الهاكر الأخلاقي في كثير من الجوانب المتعلقة بأمور الاختراق وعمليات الهاكرز وعلى سبيل المثال لا الحصر، اختبار تطبيقات الويب والمواقع على الانترنت وكشف الثغرات الأمنية، واختبار الشبكات السلكية واللاسلكية وكشف نقاط الضعف فيها، عمل تدقيق أمني للتطبيقات الداخلية والخارجية. انه يمكننا استخدام الهاكر الأخلاقي لأي تقييم أمني هدفه كشف العيوب الأمنية قبل استغلالها من قبل المخترقين أو الأشخاص الذين يبحثون عن كشف معلومات سرية خاصة بالقطاع المعني بالاختبار. ما الآلية المتبعة عند القيام بعملية الاختراق الأخلاقي؟ هناك مدارس ومنهجيات يتبعها مختبرون الاختراق منها التي تركز على تطبيقات الويب مثل OWASP ومنها الذي يركز على النظام وجمع المعلومات مثل OSSTMM وNIST ولكن في كل الأحوال تتبع خطوات ليست بالضرورة أن تكون إجبارية أثناء الاختبار ولكن هي خطوات تساعد المختبر باتباع تقنيات مجربة وآمنة في الاستخدام. يجتمع المختبر والجهة المعنية بالاختبار لتحديد خطة العمل وتحديد نوع الاختبار المطلوب وعدد الخوادم أو التطبيقات المراد اختبارها، بعد ذلك يتم توقيع اتفاقية بين كل من المختبر والجهة المعنية بالاختبار اتفاقية وتحديد موعد الاختبار والأجهزة المستخدمة ورقم الIP للمخترق.


بعد الانتهاء من توقيع الاتفاقية يقوم المختبر بجمع اكبر عدد من المعلومات المتوفرة عبر الانترنت ويكون ذلك من خلال استخدام تقنيات في الاختراق تسمى Google Hack والتي تستخدم محرك البحث جوجل كمساعد لها في معرفة المعلومات المتوفرة عبر الانترنت، ففي بعض الأحيان يخطئ مديرو النظام عندما يظنوا أن ملفاتهم الموجودة على الخادم وأن وضعت في مكان غير ظاهر للمستخدم هي مخفية عن متناولة، فباستخدام هذا الأسلوب وأساليب أخرى يستطيع المخترق والمختبر معرفة جميع الملفات الموجودة على الخادم الموقع، على سبيل المثال لو وضعنا التالي في محرك البحث جوجل site:compunet4arab.com LPT سوف نلاحظ أن جوجل حصر البحث في موقع كمبيونت فقط وقام بالبحث عن كلمة LPT فقط. بعد مرحلة جمع المعلومات يقوم المختبر بالتعرف على الهدف المراد اختباره بشكل أكبر عن طريق مسح المنافذ الموجودة ومعرفة أنواع التطبيقات والخدمات المتوفرة في الهدف مع أتباع خطوات معينة لعرض جميع الخدمات المرتبطة بشكل مباشر وغير مباشر في الهدف،


كما يتقدم عمل المختبر ليكون أشمل وأوسع عبر تحليل التطبيقات ومعرفة عدد المتغيرات في التطبيق وقيم المتغيرات ومعرفة إصدارات التطبيقات والخدمات. في المرحلة الرابعة يقوم المختبر بتحليل النواتج من المرحلتين السابقتين ويحاول اكتشاف نقاط الضعف واستغلالها لتكون ثغرات يطبقها فور اكتشافها لكي يثبت حقيقة وجودها في التطبيق أو النظام المختبر، في هذه المرحلة بالتحديد يقضى المختبر معظم فترة المشروع المتفق عليها باكتشاف نقاط الضعف وتحليل تلك النقاط وبرمجة برمجيات معينة أن لزم الأمر لاستثمار نقاط الضعف.


بعد الانتهاء من اكتشاف نقاط الضعف واختبارها يقوم المختبر بكتابة تقرير مفصل عن جميع المخاطر ونقاط الضعف والثغرات المكتشفة مع تقديم نصائح وإرشادات لإغلاق تلك الثغرات والنقاط بشكل مفصل وتقني وتحديد خطورة النقاط والثغرات المكتشفة عبر تصنيفها بثلاث مراتب وهي»خطيرة» High متوسطة الخطورة Medium وقليلة الخطورة Low ويتم ذلك بعد الرجوع لمصادر معتمدة في تقيم المخاطر الأمنية ودراسات أمنية تتم من قبل المختبر.


بعد فترة تقديم التقرير يتم الاجتماع بالجهة المعنية لعمل عرض تقديمي عن نقاط الضعف الأمنية والثغرات والحلول مما يساعد الجهة المعنية بالاختبار فهم الطرائق لمعالجتها وفهم نوعية هذه الثغرات، كما يقوم المختبر بإعادة تطبيق الثغرات المكتشفة بعد التنسيق مع الجهة والتأكد من إغلاقها بشكل سليم. في اختبارات الشبكة يتردد مصطلح بالصندوق الأبيض والصندوق الأسود، إذن ما هى آلية هذه الاختبارات؟ يتم استخدام هذه المصطلحات في عمليات اختبار الاختراق ويتم تحديدها وفقا على خطة العمل التي تسبق الاختبار وبالاتفاق مع الجهة المعنية بالاختبار وتعني التالي: اختبار الاختراق بأسلوب الصندوق الأسود «Black Box Penetration Testing» وهي عملية اختبار اختراق فعلية تحاكي تماما عمليات الاختراق المتبعة من قبل الهاكرز ويكون الاختبار بدون معرفة أي معلومة عن الجهة المراد اختباراها سوى عنوان الموقع أو الاي بي IP»»، مما يضع المختبر في سيناريو فعلي للاختراق ويجبره على البحث والتقصي وتطبيق تقنيات الاختراق «hacking techniques» للوصول لمعلومات الجهة المعنية بالاختبار. اما في اختبار الاختراق بأسلوب الصندوق الأبيض «White Box Penetration Testing» تقوم الجهة المعنية بالاختبار بتزويد المختبر بمعلومات عن نفس الأنظمة وفي بعض الأحيان باسم مستخدم وكلمة مرور لكي يحاكي عمليات الانتهاكات التي من الممكن أن تكون من داخل الشبكة أو من قبل أشخاص مصرح لهم يحاولون انتهاك وكسر الأنظمة الموضوعة من قبل الشركة لحماية مصادرها الداخلية، في هذا الاختبار يتم استخدام تقنيات المخترقين والبرامج التي يستخدمها المخترق. ممتلكات دولتهم والدول الإسلامية ويحاولون بالقليل من العلم الذي اكتسبوه أن ينهضوا بأمن المعلومات الإسلامي ويكون لهم مصادرهم الخاصة الموثوق بها والخالية من أي شوائب أو تدخلات.


ما أكثر أساليب الاختراق شيوعاً، وأكثرها خطورة؟ لو تحدثنا عن الويب فأكثر أساليب الاختراق شيوعا في وقتنا الحالي هي الاختراقات التي تستهدف تطبيقات الويب والبرامج المساعدة في تشغيل المواقع وإدارتها كما يكون مستخدمها موضع خطر في بعض الأحيان. وتعود أسباب كثرة اختراقها لكثرة استخدامها من قبل مديري المواقع والصلاحيات التي توفرها بعد الاختراق، مما شجع مكتشفي الثغرات والمخترقين بالتدقيق والبحث عن نقاط الضعف في تلك التطبيقات التي فيما بعد تستثمر لتكون ثغرات جاهزة في أيدي المخترقين وأطفال السكربتات «Script Kiddies» فمن أكثر الثغرات توجد في وقتنا الحالي XSS «Cross-site scripting» وSQL Injection وCSRF «Cross Site Request Forgery» وInformation Leakage and Improper Error Handling وهي تسرب المعلومات عن طريق الانترنت مما يجعل مهمة المخترق سهله بوجود ما يمسى Google Hack وهو استخدام محرك البحث جوجل في البحث عن المعلومات المتعلقة في الموقع ومحاولة كشف أي تسرب للمعلومات أو الملفات المراد إخفاؤها من قبل مدير التطبيق أو النظام، وأيضا يمكن تسرب المعلومات عن طريق إحداث أخطاء في التطبيق مما تساعد المخترق بجمع أكبر عدد من المعلومات عن التطبيق ومعرفة طبيعة التطبيق الجدير بالذكر أن الموضوع لا يتوقف عند اختراق الموقع بل يمتد ليشمل باقي المواقع الموجودة على الخادم «server» لأن المخترقين في العادة يحاولون رفع صلاحيتهم على النظام من مستخدمين لمديري نظم Administrator في بيئة ويندوز، وroot في بيئة لينكس ويكون ذلك باستخدام ثغرات تدعى Local Root Exploit في لينكس وadministrator privilege escalation في بيئة ويندوز والتي تعتمد في الغالب على أخطاء النظام نفسه أو خطأ في أحد تطبيقات المنزلة في النظام والتي تساعد المخترقين باستغلالها، ولو فرضنا وصادف أن يكون النظام محمياً بشكل جيد وجميع التطبيقات تخلو من الأخطاء والثغرات الأمنية يبدأ المخترقون باستخدام أساليب وطرائق أخرى مثل تحميل ما يدعى ال phpshell لتكون في المقام الأول أبواب خلفية لهم للعودة إلى النظام متى أرادوه وأداه للتجوال داخل الخادم واستعراض ملفات المستخدمين الآخرين ومن ثم اختراقهم، مع الأخذ بالاعتبار أنه تم اكتشاف حل لمشكلة ال phpshell فيما سبق وهي عن طريق تفعيل ما يدعي php safe mode في أنظمة لينكس مما كان يحد من عمليات الاختراق الداخلي، غير أنه ومع مرور الوقت اكتشف المخترقون طرائق عديدة لتخطى ال php safe mode فكان الحل الوحيد هو تعطيل بعض الدوال الخطيرة في php وتغير صلاحيات ملفات معينة مع تركيب بعض البرمجيات التي تشل حركة المخترق داخل السير فر وتقلل الضرر على موقع واحد فقط، ولكن بقدر ما يحاول خبراء الأمن تطوير وتحسين القاعدة الأساسية للأمن يحاول المخترقون بدورهم إيجاد طرائق بديلة لتخطى الجدران المنيعة، فقد كانت ال phpshell مثال من مئات الأمثلة لما يستخدمه المخترقون لتخطي قواعد الأمن المعدة مسبقا من قبل مدير النظام.